JVNDB-2014-002142

cURL および libcurl における任意の SSL サーバになりすまされる脆弱性

cURL および libcurl は、OpenSSL、axTLS、QSOSSL または TLS の GSKit ライブラリを使用する場合、X.509 証明書のサブジェクトの Common Name (CN) フィールド内のワイルドカードの IP アドレスを認識するため、任意の SSL サーバになりすまされる脆弱性が存在します。

Haxx

• cURL 7.1 以上 7.36.0 未満
• libcurl 7.1 以上 7.36.0 未満

IBM

• IBM Advanced Settings Utility (ASU) 9.52 およびそれ以前
• IBM Dynamic System Analysis (DSA) 9.52 およびそれ以前
• IBM ToolsCenter Suite 9.52 およびそれ以前
• IBM UpdateXpress System Packs Installer (UXSPI) 9.52 およびそれ以前

オラクル

• Oracle Hyperion Essbase 11.1.2.2
• Oracle Hyperion Essbase 11.1.2.3

中間者攻撃 (man-in-the-middle attack) により、巧妙に細工された正規の認証局より発行された証明書を介して、任意の SSL サーバになりすまされる可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Chef Software, Inc.

• Chef : Enterprise Chef 11.1.3 Release
• Chef : Enterprise Chef 1.4.9 Release
• Chef : Chef Server 11.0.12 Release

Haxx

• Security Advisory : libcurl IP address wildcard certificate validation

IBM

• IBM Security Bulletin : MIGR-5095862

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - July 2015
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices
• SECURITY BLOG : July 2015 Critical Patch Update Released

1. 暗号の問題(CWE-310) [NVD評価]

1. CVE-2014-0139

1. National Vulnerability Database (NVD) : CVE-2014-0139
2. 関連文書 : MGASA-2015-0165

• [2014年04月21日]
    掲載
  [2014年05月14日]
    ベンダ情報：Chef Software (Enterprise Chef 1.4.9 Release) を追加
    ベンダ情報：Chef Software (Enterprise Chef 11.1.3 Release) を追加
    ベンダ情報：Chef Software (Chef Server 11.0.12 Release) を追加
  [2014年08月07日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：IBM (MIGR-5095862) を追加
  [2015年06月26日]
    参考情報：関連文書 (MGASA-2015-0165) を追加
  [2015年07月29日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - July 2015) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - July 2015 Risk Matrices) を追加
    ベンダ情報：オラクル (July 2015 Critical Patch Update Released) を追加